Jeudi, durant sa dernière semaine de mandat, le président Joe Biden a signé un décret visant à renforcer les défenses cybersécuritaires des États-Unis, en exigeant notamment des fournisseurs de logiciels comme Microsoft de prouver qu’ils respectent certaines normes de sécurité avant de pouvoir vendre leurs produits au gouvernement fédéral.
Cette initiative fait suite à une série de cyberattaques au cours des dernières années, où des hackers liés à la Russie, à la Chine et à d’autres pays hostiles ont exploité des vulnérabilités logicielles pour dérober des documents sensibles d’agences fédérales.
En demandant davantage de responsabilité aux fabricants de logiciels, Biden a souligné des cas où des entrepreneurs “s’engagent à suivre des pratiques de cybersécurité, mais ne corrigent pas des vulnérabilités bien connues dans leurs logiciels, mettant ainsi le gouvernement en danger.”
En juin, ProPublica a rapporté un cas impliquant Microsoft, le plus grand fournisseur informatique du gouvernement fédéral. Lors de l’attaque SolarWinds, découverte peu avant l’entrée en fonction de Biden, des hackers parrainés par l’État russe ont exploité une faiblesse dans un produit Microsoft pour subtiliser des données sensibles de l’Administration nationale de la sécurité nucléaire et d’autres agences. ProPublica a découvert que, pendant des années, les dirigeants de Microsoft avaient ignoré les avertissements d’un de leurs ingénieurs sur cette faille, craignant que l’admission publique de celle-ci n’aliène le gouvernement fédéral et ne fasse perdre du terrain à l’entreprise face à ses concurrents.
Cette culture du profit au détriment de la sécurité a été, en grande partie, motivée par la course aux parts de marché dans le secteur de l’informatique en nuage, selon le média. Un ancien superviseur de Microsoft a décrit cette attitude comme un “faisons tout ce qu’il faut pour gagner, car il faut gagner.”
Microsoft s’est engagé à mettre la sécurité “au-dessus de tout.”
Il est important de noter que Microsoft n’est pas la seule entreprise dont les produits ont permis aux hackers d’accéder aux réseaux gouvernementaux. Les hackers russes lors de l’attaque SolarWinds ont pénétré les réseaux des victimes grâce à des mises à jour logicielles compromises fournies par SolarWinds, basé au Texas, avant d’exploiter le produit Microsoft défaillant.
Pour prévenir de futures intrusions, le gouvernement souhaite que les entreprises informatiques prouvent qu’elles utilisent des “pratiques de développement logiciel sécurisées pour réduire le nombre et la gravité des vulnérabilités” dans leurs produits. En outre, selon Biden, le gouvernement “doit adopter des pratiques de gestion des risques tiers plus rigoureuses” pour vérifier l’utilisation de ces pratiques. Il a demandé des modifications au Règlement fédéral sur les acquisitions, les règles pour les contrats gouvernementaux, afin d’appliquer ses recommandations. Si ces exigences sont entièrement mises en œuvre, les contrevenants pourraient être renvoyés au procureur général pour des poursuites judiciaires.
Biden a également mentionné que le renforcement de la sécurité des “systèmes de gestion d’identité” fédéraux était “particulièrement critique” pour améliorer la cybersécurité du pays. En effet, le produit Microsoft qui faisait l’objet de l’article de ProPublica en juin était un produit “d’identité” permettant aux utilisateurs d’accéder à presque tous les programmes utilisés au travail avec une seule connexion. En exploitant cette faiblesse lors de l’attaque SolarWinds, les hackers russes ont pu rapidement siphonner des e-mails des réseaux victimes.
En novembre, ProPublica a rapporté que Microsoft avait capitalisé sur l’attaque SolarWinds en proposant aux agences fédérales des essais gratuits de ses produits de cybersécurité. Ce mouvement a effectivement contraint ces agences à s’engager dans des licences logicielles plus coûteuses, augmentant considérablement la présence de Microsoft dans le gouvernement fédéral. L’entreprise a déclaré à ProPublica que son offre était une réponse directe à une “demande urgente de l’administration pour améliorer la posture de sécurité des agences fédérales.” Dans son décret, Biden a abordé les conséquences de cette demande de 2021, ordonnant au gouvernement fédéral de réduire les risques dus à la “concentration des fournisseurs et services informatiques”, faisant référence à la dépendance croissante de Washington à l’égard de Microsoft, que certains législateurs qualifient de “monoculture de cybersécurité.”
Le décret de jeudi représente l’une des dernières initiatives réglementaires touchant Microsoft dans les derniers jours de l’administration Biden. Le mois dernier, ProPublica a révélé que la Commission fédérale du commerce (FTC) enquêtait sur l’entreprise pour déterminer si ses pratiques commerciales étaient contraires aux lois antitrust. Les avocats de la FTC ont mené des entretiens et organisé des réunions avec des concurrents de Microsoft, un domaine clé d’intérêt étant la manière dont l’entreprise regroupe les produits Office populaires avec ses services de cybersécurité et d’informatique en nuage.
Cette pratique de regroupement était l’objet de l’enquête de novembre de ProPublica, qui a détaillé comment, à partir de 2021, Microsoft a utilisé cette méthode pour exclure ses concurrents des contrats fédéraux lucratifs. Selon une source proche de l’enquête, la FTC considère que le fait que Microsoft ait gagné davantage de contrats fédéraux tout en laissant le gouvernement vulnérable aux cyberattaques est un exemple des pouvoirs problématiques de l’entreprise sur le marché.
Microsoft a refusé de commenter les détails de l’enquête, mais a déclaré le mois dernier à ProPublica que la demande d’informations de la FTC était “large, variée, et demandait des choses qui dépassent le domaine du possible pour être même logiques.”
La nouvelle direction de la commission, choisie par Trump, décidera de l’avenir de cette enquête.
Bon à savoir
- Les cyberattaques continuent d’être une préoccupation majeure pour de nombreuses organisations, tant publiques que privées.
- Le décret de Biden souligne une volonté de renforcer la cybersécurité dans un contexte international de tensions croissantes.
- Les relations entre grandes entreprises technologiques et gouvernements sont souvent complexes, notamment autour des questions de confidentialité et de sécurité.
Dans un monde de plus en plus interconnecté, la cybersécurité devient essentielle et mérite une attention accrue de la part des gouvernements et des entreprises. Comment les politiques et les entreprises peuvent-elles mieux collaborer pour anticiper les menaces et renforcer la sécurité ? Cette question mérite d’être posée et discutée.
C’est super intéressant de voir comment le gouvernement prend enfin des mesures pour renforcer la cybersécurité. Les entreprises comme Microsoft doivent vraiment faire des efforts pour protéger nos données !
C’est fascinant de voir comment la cybersécurité évolue ! J’espère que cette initiative encouragera tout le monde à adopter de meilleures pratiques. La technologie doit être un bouclier, pas une porte ouverte !
Ce décret de Biden est un pas dans la bonne direction pour sécuriser nos données ! Mais comment ces grandes entreprises vont-elles vraiment changer leurs pratiques ?
La cybersécurité est essentielle dans notre ère numérique. Ce décret montre enfin l’importance de renforcer nos défenses. Espérons que cela inspire d’autres entreprises à faire de même !
Le décret de Biden sur la cybersécurité est une étape nécessaire pour protéger les systèmes gouvernementaux, mais il est crucial que les entreprises respectent ces normes efficacement.